研究人员偶然发现了一个可公开访问的生物识别数据库,该数据库暴露了超过一百万人的指纹,以及大量其他个人数据。
网络安全专家Noam Rotem和vpnMentor的Ran Locar 今天在博客文章中透露了令人震惊的发现。该数据库属于Suprema ID Inc.,这是一家韩国建筑物门禁管理技术制造商。该公司使用该系统存储其Biostar 2生物识别锁定产品的安装数据。
Rotem和Locar在数据库中发现了大约2780万无人防守且大多数未加密的记录。该工作包括指纹扫描,面部识别收集的面部照片,用户名,密码和日志,详细说明使用Biostar 2的设施的人员来往。一些数据库条目还包含其他个人信息,如就业记录。
研究人员没有输入密码来访问信息。“公司[Suprema ID]使用Elasticsearch数据库,该数据库通常不是为URL使用而设计的,”Rotem和Locar写道。“但是,我们能够通过浏览器访问它并操纵URL搜索标准以暴露大量数据。”
这并不是研究人员第一次发现存在于开放网络中的数据库中的敏感记录。今年7月,一名网络安全专家遇到了属于本田汽车公司的无保护Elasticsearch部署,该部署包含1.34亿内部记录。埃森哲公司 ,Capital One Financial Corp.,FedEx Inc.和许多其他主要企业多年来一直参与类似的数据保护事故。
Suprema事件的不同之处在于研究人员还设法访问了数据库的管理控制台。根据Rotem和Lucar的说法,黑客可能会滥用这个系统,让他们自己未经授权访问全球的建筑物。
Suprema声称全球有超过150万台Biostar安装。在一些设施中,该系统与AEOS一起部署,AEOS是政府,银行和英国大都会警察使用的另一个访问控制平台。
据 “卫报” 报道,截至周三早些时候,Suprema关闭了安全漏洞。该公司营销负责人Andy Ahn在发给该报的一份声明中表示,“如果我们的产品和/或服务受到任何明确的威胁,我们将立即采取行动,并做出适当的公告,以保护我们客户的宝贵业务和资产。“
